[摘 要] 本文主要針對(duì)電子商務(wù)中交易雙方所面臨的各種潛在風(fēng)險(xiǎn)，從安全技術(shù)和認(rèn)證技術(shù)的角度分析和探討了電子商務(wù)安全技術(shù)體系結(jié)構(gòu)，揭示其各安全技術(shù)間的層次關(guān)系，并介紹了相應(yīng)的對(duì)應(yīng)策略——安全及認(rèn)證機(jī)制。

[關(guān)鍵詞] 信息安全 機(jī)制 電子商務(wù)

一、電子商務(wù)安全概述

隨著Internet技術(shù)的迅猛發(fā)展，任何人都可以合法地自由的進(jìn)入因特網(wǎng)進(jìn)行各種商務(wù)活動(dòng)，當(dāng)然，這其中有可能包括一些惡意的行為。調(diào)查顯示，近年來，通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)方面的金融犯罪有上升的趨勢(shì)，目前我國(guó)發(fā)生的通過網(wǎng)絡(luò)進(jìn)行的電子商務(wù)金融犯罪多達(dá)200多起，經(jīng)濟(jì)損失已達(dá)上億元。大多數(shù)電子商務(wù)用戶不使用網(wǎng)絡(luò)進(jìn)行商務(wù)活動(dòng)，沒有別的原因，主要是對(duì)網(wǎng)上交易及支付信息的安全有所擔(dān)心。可以說網(wǎng)絡(luò)信息安全問題成為電子商務(wù)發(fā)展的一個(gè)瓶頸，是電子商務(wù)發(fā)展面臨和必須盡快解決的一個(gè)大問題。

另外，我國(guó)的大多數(shù)電子商務(wù)企業(yè)的安全意識(shí)不強(qiáng)。在建立商務(wù)網(wǎng)站和商務(wù)活動(dòng)管理中，考慮比較多的是效益、方便、快捷，而忽視了系統(tǒng)的安全、保密、抗攻擊功能，也間接導(dǎo)致了電子商務(wù)的脆弱和難以維護(hù)。

二、電子商務(wù)及其存在的問題

電子商務(wù)是指利用簡(jiǎn)單快捷低成本的電子通訊方式，使買賣雙方進(jìn)行各種商貿(mào)活動(dòng)的新型貿(mào)易形式。它改變了傳統(tǒng)的貿(mào)易形式，不僅改變了企業(yè)本身的生產(chǎn)、經(jīng)營(yíng)、管理活動(dòng)，而且將導(dǎo)致人類經(jīng)濟(jì)、社會(huì)和文化的一次新的革命。但目前電子商務(wù)的發(fā)展中還存在許多問題：

1.安全協(xié)議問題：對(duì)安全協(xié)議還沒有全球性的標(biāo)準(zhǔn)和規(guī)范，相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。

2.安全管理問題：在安全管理方面還存在很大隱患，普遍難以抵御黑客的攻擊。

3.電子商務(wù)沒有真正深入商務(wù)領(lǐng)域而僅僅局限于信息領(lǐng)域。

4.傳輸安全問題：指電子商務(wù)運(yùn)行過程中，物流、資金流匯成信息流后動(dòng)態(tài)傳輸過程中的安全，其安全隱患主要包括網(wǎng)上詐騙和否認(rèn)發(fā)出信息等。

三、電子商務(wù)的信息安全需求

通過分析，在電子商務(wù)信息的安全顯得尤其重要。它有以下幾方面的需求：

1.信息的保密性。電子商務(wù)是建立在一個(gè)開放性很強(qiáng)的網(wǎng)絡(luò)環(huán)境中，維護(hù)商業(yè)機(jī)密是電子商務(wù)全面推廣應(yīng)用的重要保障。因此，要預(yù)防非法的信息存取和信息在傳輸過程中被非法竊取，保密性一般通過密碼技術(shù)對(duì)傳輸?shù)男畔⑦M(jìn)行加密處理來實(shí)現(xiàn)。

2.信息的完整性。電子商務(wù)帶來方便快捷的同時(shí)，也帶來了一些新的問題，比如傳輸信息的完整性和統(tǒng)一性問題；另外，網(wǎng)絡(luò)信息在傳輸中的部分內(nèi)容丟失或在目的方信息重組時(shí)出現(xiàn)差錯(cuò)也有可能影響商務(wù)活動(dòng)的正常進(jìn)行。

3.信息的真實(shí)性。電子商務(wù)活動(dòng)中涉及到的信息都應(yīng)是真實(shí)的。包括交易雙方身份的真實(shí)性和商務(wù)信息的真實(shí)性。即要提供能對(duì)這種信息真實(shí)性進(jìn)行鑒別的機(jī)制。

4.信息的不可抵賴性。要在商務(wù)活動(dòng)進(jìn)行的過程中提供某種機(jī)制，對(duì)參與商務(wù)活動(dòng)雙方進(jìn)行的活動(dòng)進(jìn)行日志，以避免某一方對(duì)自己以前的某些行為進(jìn)行否認(rèn)。

5.信息的有效性。

四、電子商務(wù)中的安全機(jī)制

1.數(shù)據(jù)加密技術(shù)。面向網(wǎng)絡(luò)的加密技術(shù)是目前較為流行的加密技術(shù)，例如使用kerberos服務(wù)的telnet、nfs、rlogion等，以及用作電子郵件加密的pem（privacy enhanced mail）和pgp（pretty good privacy）。這一類加密技術(shù)的優(yōu)點(diǎn)在于實(shí)現(xiàn)相對(duì)較為簡(jiǎn)單，不需要對(duì)電子信息（數(shù)據(jù)包）所經(jīng)過的網(wǎng)絡(luò)的安全性能提出特殊要求，對(duì)電子郵件數(shù)據(jù)實(shí)現(xiàn)了端到端的安全保障。具體有對(duì)稱密鑰密碼技術(shù)、不對(duì)稱型加密技術(shù)和不可逆加密技術(shù)。

2.安全協(xié)議。電子商務(wù)最常見的安全協(xié)議有SSL及SET兩種。SSL協(xié)議獨(dú)立于應(yīng)用層協(xié)議，在電子交易中被用來安全傳送信用卡號(hào)碼。SET妥善地解決了信用卡在電子商務(wù)交易中的交易協(xié)議、信息保密、資料完整以及身份認(rèn)證等問題。

3.防火墻技術(shù)。防火墻是網(wǎng)絡(luò)安全策略的有機(jī)組成部分，它通過控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息交換和訪問行為來實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全的有效管理。

4.健全的法律法規(guī)。國(guó)家需要建立電子商務(wù)發(fā)展所需的政策和相應(yīng)的法律、法規(guī)等，從大環(huán)境上杜絕非法客戶的非法操作。

五、電子商務(wù)中的認(rèn)證機(jī)制

安全認(rèn)證技術(shù)是為了保證電子商務(wù)活動(dòng)中的交易雙方身份及其所用文件真實(shí)性的必要手段。

1.數(shù)字摘要。又稱安全Hash編碼法，采用單向Hash函數(shù)將需加密的明文“摘要”成一串128bit的密文，該密文亦稱為數(shù)字指紋(Finger Print)，它有固定的長(zhǎng)度，且不同的明文摘要成密文是不同的，而同樣的明文其摘要必定一致。

2.數(shù)字簽名。數(shù)字簽名可以保證身份的精確性，分辨參與者所聲稱身份的真?zhèn)?，防止偽裝攻擊。特別是避免通信雙方發(fā)生如下安全問題：否認(rèn)、偽造、冒充、篡改。

3.數(shù)字時(shí)間戳。數(shù)字時(shí)間戳就是一種能夠提供電子文件的日期和時(shí)間信息的安全保護(hù)的技術(shù)，人們可以依賴它來確定電子文檔在何時(shí)創(chuàng)建和簽署的。這對(duì)于那些對(duì)時(shí)間敏感的技術(shù)專利、機(jī)密文件、網(wǎng)上交易來說是非常重要的。

4.CA認(rèn)證。在電子商務(wù)系統(tǒng)中，所有實(shí)體的證書都是由證書授權(quán)中心，即CA中心分發(fā)并簽名的，一個(gè)完整、安全的電子商務(wù)系統(tǒng)必須建立起一個(gè)完整、合理的CA體系。

六、結(jié)束語

目前，基于Internet的電子商務(wù)應(yīng)用還剛剛開始，許多方面都還不夠完善，僅從技術(shù)角度防范是遠(yuǎn)遠(yuǎn)不夠的，電子商務(wù)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)安全與商務(wù)安全的雙重要求，使電子商務(wù)安全的復(fù)雜程度比大多數(shù)計(jì)算機(jī)網(wǎng)絡(luò)更高，因此電子商務(wù)安全應(yīng)作為安全工程，而不是解決方案來實(shí)施。

參考文獻(xiàn)：

[1]李 浩:電子商務(wù)中電子支付及其安全問題[J].天津職業(yè)院校聯(lián)合學(xué)報(bào)，2008(5)

[2]姜 華 楊 靜:電子商務(wù)的網(wǎng)上支付與安全[J].中國(guó)管理信息化，2006（4）

[3]徐雪梅:淺談保障電子商務(wù)活動(dòng)中的信息安全[J].科技情報(bào)開發(fā)與經(jīng)濟(jì)，2003（5）